web-dev-qa-db-ja.com

WiFiネットワークを保護する方法は?

WiFiネットワークを保護するために何をしなければなりませんか?ベストプラクティスはありますか?

ルーターでWPA2暗号化を使用することが推奨されていますが、それで十分ですか?セキュリティをさらに向上させるにはどうすればよいですか?特定のMACアドレスのみを許可することをお勧めしますか、それとも必要ありませんか?

他の誰かが同じSSIDとより強い信号強度でWiFiネットを設定した場合、私のコンピューターが自分のネットワークではなくそのネットワークに接続することを聞きました。それを防ぐにはどうすればよいですか?

networkencryptionauthenticationphysicalwifi
29
Jonas
  • WPA2とは、WPA2パーソナルを意味します。現在のところ、本当に良いパスワードと組み合わせる限り、ほとんどの場合それで十分です。 https://www.grc.com/passwords.htm は、彼らにとって優れたジェネレータです。
  • Wi-Fi Protected Setup(WPS)を無効にします。それ以外の場合、攻撃者は8桁の数字PIN-を破るだけで十分です。
  • SSIDをクロークします。断固とした攻撃者を止めることはありませんが、攻撃者のようなスクリプトキディの一部を止めます。
  • 特定のMACアドレスのみを許可することは、ユーザーアクセスを管理するための適切な手順です。ただし、攻撃者はとにかく、現在ワイヤレスに接続されているMACアドレスをプレーンテキストで確認できるため、攻撃者を遅くすることはありません。
  • 可能であれば、WiFiが攻撃される可能性を減らすための良い戦術は、ワイヤレスアクセスポイントを適切に配置して、最小限の信号が建物の外にブロードキャストされるようにすることです。そのため、攻撃者は、ワイヤレスアンテナを改良して何マイルも離れた場所から取得できない限り、攻撃を開始するためにより近づく必要があります。

はい、人々はより強い信号をブロードキャストして、 Karma などのツールを使用して、実際に必要なアクセスポイントの代わりにそれらに接続してもらうことができます。ワイヤレスに接続するたびに自動アソシエーションを許可しないことを除いて、これを防ぐ具体的な方法はわかりません。手動で接続して、正しいアクセスポイントに接続していることを確認する必要があります。

17
Mark Davidson

それはネットワーク/環境に依存します。 SOHOワイヤレスネットワークの場合WPA 2 PSKに強力なパスフレーズを使用したパーソナルで十分です。

エンタープライズネットワークまたは機密情報を扱うネットワークでは、次の制御を使用する必要があります。

  • IEEE 802.1X/EAPに関連付けられたWPA 2 Enterprise
  • 内部ネットワークから分離されたワイヤレスネットワーク
  • ローカル攻撃を検出/防止するためのWIPSおよびログ監視
  • 内部アクセスを必要とするワイヤレスクライアントは、VPN経由で接続する必要があります
  • 物理的な制御や信号強度の操作を通じて、カバレッジを絶対に必要なものに制限します
11
sdanelson

これまでに述べたすべての点に同意します。MarkDavidsonとsdanelsonの両方が無線のカバレッジについて言及したので、いくつかの領域があるので、これについて少し拡張したいと思いました。

信号強度-通常、特定の領域で可能な最小の信号強度を使用するため、外部の攻撃者はアクセスできませんが、これは悪意のあるアクセスポイントがSSIDをコピーし、はるかに高い信号強度を使用する場合、 Evil Twin 攻撃にさらされる可能性があります。

解決策は、あなたの伝搬経路を考えることです-サイトに指向するように構成されたアンテナでサイトの外側にアクセスポイントを配置すると、多くの場合、アクセスポイントの信号強度を高めることができるため(クライアントから見ると、より強力に見えます)、信号を端から端まで伝搬する必要はありません。

私が見たより簡単でより効果的なソリューション(これはやり過ぎかもしれません-非常にデリケートな施設で使用されているのを見ました)は、金属で覆われた壁と天井に窓のメッシュがあります-このサイトのワイヤレスサイト調査ゼロRF漏れ!

あいまいさによるセキュリティ(この場合はSSIDビーコンを非表示にする)は、誤った安心感を与えます。アクセスポイントは、ビーコンフレームではなく、SSIDをブロードキャストします。多くの一般ユーザーは、多くのプラットフォームのドライバーがSSIDを識別するため、引き続き接続できます。すべての攻撃者は、通常どおりにあなたを見つけることができます。 Russix LiveCD のツールを試してくださいまた、SSIDブロードキャストを無効にしても問題なく動作します。

10
Rory Alsop

これをここに入れるだけです。

単一の最良の「ワイヤレス」セキュリティモデルは、これらのワイヤレスルーターを通常のCAT-5配線に置き換えることです。

次善の策は、無線ルーターによって提供される暗号化に加えて、Kerberosを使用してマシン間のすべてのトラフィックを保護することです。これは、Windowsドメインのグループポリシー設定で行うことができます。

何をするにしても、ルーターに対して認証できるマシンをネイティブで信頼しないでください。

4
NotMe

これが家庭または中小企業向けのワイヤレスルーターであるという前提で、私は次のことを推奨する必要があります。

  • 原則として、SSIDやWebインターフェイスなど、ルーターのデフォルトの設定を変更します。

  • AES暗号化のみのWPA2と、8文字を超える英数字のパスワードを含む強力なキーを使用する必要があります。ホームネットワークを保護するために63文字のパスワードは必要ありません。

  • ワイヤレスMacフィルタリングを使用して、許可されたワイヤレスデバイスのみがネットワークに接続することを許可します。この情報は物理アドレスまたはMACアドレスと呼ばれ、コマンドプロンプトでipconfig/allと入力すると、Windowsマシンで確認できます。

  • ワイヤレスルーターがそれをサポートしている場合は、ハッカーが自分自身を配置できる領域を減らすために、範囲を自分の資産の範囲内に制限する必要があります。

  • 最後に、SSIDを非表示にしても、ネットワークを保護する方法は何も行われず、実際にSSIDが攻撃を受けやすくなります。さらに、強力なWPA2パスワードを解読できる人物が隠しSSIDによって妨害されることはありません。これについて詳しくは、次の記事をご覧ください。 http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-安全/

3
Brian Winning Jr.

優れた防御は階層化されているため、それらすべてを統治するための1つのガイドはありません。特にワイヤレスについては、DISAの実装ガイドをご覧ください。 enpoint認証などの他のテクノロジーを含める必要がありますが、これは良い出発点です。

http://iase.disa.mil/stigs/content_pages/wireless_security.html

または、ドロップを実行して、これらの問題のlotを排除することもできます。

2
pboin

独自のAPソフトウェア(hostapdを意味する可能性が高い)を実行する場合は、パスワードベースのEAPを設定できます。

次に、知っているMACごとに1つのパスワードを設定し、そうでない場合は頻繁にローテーションするデフォルトのパスワードを設定できます。個人的には、これはMACフィルタリングの妥当な代替手段だと思いますが、両方を実装することもできます。

それは適切に階層化されたアプローチほど強力ではありませんが、SOHOと穏やかな懸念のために合理的です(私はこれにPi3を使用しました)。

懸念がある場合は、VPNを重要なもの(つまり、パブリックWebサイトの閲覧以外のもの)に必須にすることをお勧めします。

0
iwaseatenbyagrue